A la hora de analizar malware, los analistas e investigadores nos encontramos con todo tipo de muestras. Como mencionamos anteriormente en este blog, muchas veces nos encontramos con binarios empaquetados cuya finalidad es dificultar su estudio. En esta oportunidad analizaremos una muestra que no solo esta empaquetada, sino que tiene otras características adicionales orientadas a dificultar su análisis y detección.

El binario estudiado en este caso, esta empaquetado con el popular empaquetador UPX, cosa que podemos ver fácilmente con el detector de packers ProtectionID:

Si queremos verificar esto, podemos mirar el Entry Point (EP) con un debugger:

Ver más… »

Categories: Análisis de malware, Curiosidades
8 Comments »

En el ultimo mes se han puesto a disposición de todos, diferentes Exploits Kits que por largo tiempo fueron las joyas de la industria del malware. Claros ejemplos de estos son: CrimePack 3.1.3, CrimeWare y Black Hole.

Estos paquetes de crimeware son montados en un servidor web y traen consigo varios exploits para navegadores como Internet Explorer, FireFox, Opera, y otros, así como también códigos maliciosos que explotan distintas vulnerabilidades en lectores PDF o JAVA.

Anteriormente la única forma de conseguir una muestra de éste era comprándolo en el mercado negro por valores como 800 dólares, o más, dependiendo de las prestaciones del kit. En el Laboratorio de Análisis e Investigación de ESET Latinoamérica descargamos la muestra de CrimePack 3.1.3 y nos hemos puesto en el trabajo de analizar el código. En la siguiente imagen se puede ver la pagina de instalación para este Exploit Kit:

Ver más… »

Categories: Análisis de malware
1 Comment »

Una de las detecciones por la que más suelen preguntar los usuarios de Latinoamérica, es INF/Autorun, por lo que me pareció una buena oportunidad para compartir con ustedes las preguntas más frecuentes relacionadas a esta detección. Entonces, les presento las preguntas frecuentes (FAQ – Frequently Asked Questions) sobre esta amenaza.

¿Qué es INF/Autorun?

Es una firma genérica por la que ESET NOD32 detecta los archivos autorun.inf creados por códigos maliciosos. Es decir, un archivo de inicio de los dispositivos USB removibles, que está preparado para ejecutar un código malicioso, que suele estar alojado en el mismo dispositivo:

¿Es un código malicioso?

No, al ser una firma genérica, esta puede aparecer para la detección de múltiples códigos maliciosos, que estarán alojados en el dispositivo listos para ejecutarse al momento de conectarlo a la PC.

¿Cuál es el daño de esta amenaza?

El daño dependerá de las rutinas del archivo, no hay un daño asociado a la firma, ya que la misma es genérica.

¿Cuán propagada es esta amenaza?

Los dispositivos USB son el principal medio de propagación de malware en Latinoamérica. Según el informe, “Gusanos y Troyanos: el reinado del malware“, cuatro de cada diez dispositivos USB en la región se encuentran infectados con un código malicioso. Gusanos muy populares, como Stuxnet o Conficker, se propagaban con esta modalidad.

A la vez, esta firma se ubica periódicamente entre las más propagadas en al Ranking de Propagación de Amenazas, habiéndose ubicado en el primer lugar (con el 6,62%) el último ranking del mes de abril de 2011.

¿Un dispositivo USB con esta amenaza, infectará cualquier computadora a la que sea conectado?

No, en aquellos sistemas que cuenten con un antivirus, como ESET NOD32, la amenaza será bloqueada antes de su ejecución.

Además, el archivo autorun.inf será ejecutado solo en los sistemas Windows que posean habilitada dicha funcionalidad (ejecución automática de dispositivos removibles).

¿Qué versiones de Windows son vulnerables?

Windows 7 solucionó este inconveniente con la incorporación de la funcionalidad de AutoPlay, que niega la ejecución de estos archivos cuando se trata de dispositivos USB, y sólo lo permite para dispositivos ópticos (como CD o DVD).

Las versiones anteriores a esta (Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008), ejecutan automáticamente este archivo al conectar un dispositivo USB a la computadora, aunque existe una actualización de seguridad, desde febrero de 2011, que modifica el comportamiento en estos sistemas, por lo que los sistemas actualizados no son vulnerables.

¿Cómo puedo protegerme?

Además de utilizar el antivirus para la detección, como ya se mencionó, existe un parche de Windows para la corrección de esta funcionalidad. Para ello, es necesario instalar en los sistemas la actualización disponible en la KB 971029 de Microsoft.

También existe un workaround para deshabilitar la funcionalidad del Autorun desde el registro, pero es recomendable solucionarlo desde la actualización del sistema operativo.

¿Tienes más preguntas sobre el INF/Autorun? Dejalas en los comentarios y daremos respuesta a la brevedad.

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Malware
3 Comments »

Hace unos días les comentábamos sobre un nuevo rogue para el sistema operativo de Apple, Mac Defender. El código malicioso, al igual que el resto de los falsos antivirus, se caracteriza por simular infecciones en el sistema y por tentar al usuario a la compra de una falsa licencia de software, por la cual será estafado. Posterior a la aparición de la amenaza, diversas variantes comenzaron a circular en Internet, como “MacProtector“, “Apple Security Center” y “MacSecurity“, entre otras. El día de ayer, hemos detectado una nueva variante de esta amenaza, MacGuard, que se caracteriza por no necesitar credenciales de administrador para su instalación.

Esta nueva versión, detectada por ESET Cybersecurity como OSX.TrojanDownloader.FakeAlert.A, utiliza el nombre de MacGuard y en lineas generales, no posee grandes diferencias con sus predecesores: propagación web, alertas de infecciones, y compra de licencia:

Como ya se mencionó, la gran novedad de esta variante radica en que la instalación puede realizarse sin necesidad de ingresar credenciales de administrador en el sistema. Para ello, utiliza un sistema de dos instaladores, siendo el primero de estos el que se descarga en la carpeta “Aplicaciones”, que requiere permisos de administrador. Este, es únicamente un “descargador” que se llama avRunner, y que se ejecuta automáticamente y descarga MacGuard. Luego de esta operación, el primero es eliminado para ocultar rastros en el sistema. El rogue se carga en las aplicaciones de inicio del usuario para ejecutarse en cada inicio de sesión, sin necesidad de permisos administrativos.

Ver más… »

Categories: Alertas, Malware
2 Comments »

El siguiente post ha sido escrito y desarrollado por nuestro compañero Josep Albors, de Ontinet (distribuidor exclusivo de ESET para España), y reproducimos aquí una adaptación de su contenido, a partir del hallazgo de una nueva variante de Zbot en propagación.

Es bastante frecuente que, entre los miles de correos que recibimos en nuestros laboratorios, aún encontremos alguno que intente propagar códigos maliciosos para hacer que nuestro sistema entre a formar parte de una red de ordenadores zombis (botnet). El método no es nada nuevo, pero con un poco de ingeniería social se puede hacer picar hasta al usuario más precavido. El caso que analizamos hoy empieza con la recepción de un correo en español que dice así:

Tenemos un correo genérico que a muchos usuarios no les dirá nada, pero a quienes hayan realizado una compra recientemente o a muchos departamentos comerciales o administrativos, les resultará bastante interesante. Como hemos visto en el cuerpo del mensaje, se proporciona un enlace desde donde descargar la supuesta factura. Cabe destacar que los enlaces que hemos revisado pertenecen a dominios legítimos que han visto su seguridad comprometida y que están sirviendo malware sin saberlo. Una vez pulsamos sobre el enlace, procederemos a la descarga del archivo, de nombre DocIndex.zip.

Ver más… »

Categories: Alertas
4 Comments »